本文探讨了IDS(入侵检测系统)中的误报与漏报问题,分析了如何利用这些漏洞进行攻击,以及当前面临的逃避技术挑战。
1.IDS误报
所谓IDS误报是指: 明明没有这个攻击,但是入侵者让IDS拼命告警,使不断增长的告警日志塞满硬盘,以致翻滚的告警屏幕把管理者搞得眼花缭乱。这样,真正的攻击就可以夹杂在数不清的虚假告警中蒙混过关了。
2001年3月,国外网络安全产品评测人员Coretez发现另外一种让IDS误报的入侵:快速地产生告警信息,抑制IDS的反应速度,以致使IDS失去反应能力,甚至让系统出现死机现象。
2.IDS漏报
采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。和IDS误报相比,漏报其实更危险。IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
IDS的实现总是在漏报和误报中徘徊,漏报率降低了,误报率就会提高;同样误报率降低了,漏报率就会提高。一般地,IDS产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。
3.IDS逃避
利用IDS误报和漏报,穿透IDS和防火墙的行为叫“逃避”。 据芬兰的Stonesoft公司报道,目前在全球有180多种“逃避”技术被发现。还有新的不断产生。有部分产品对这种“逃避”危害尚能对付。 但是,对不同“逃避”技术的组合(其数量按排列,组合算法会有2的180方种可能)又会产生新的更俱威胁的“逃逸”,这种逃避称之为高级"逃避"。高级逃避几乎能通过目前任何安全设备,比如防火墙,IPS等。
扫一扫
642
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
